Volo Protocol, sebuah platform staking cecair dan BTCFi di rantaian blok Sui, mengesahkan eksploit keselamatan bernilai $3.5 juta minggu ini, yang dikaitkan dengan kunci peribadi pentadbir peti simpanan yang telah dikompromi.
Protokol Volo Kehilangan $3.5 Juta dalam Eksploit Rantaian Blok Sui, Menyekat Percubaan Jambatan WBTC
DITULIS OLEH
KONGSI
Pengambilan Utama:
- Volo Protocol kehilangan $3.5 juta daripada tiga peti simpanan berasaskan Sui pada 21 April 2026, susulan kunci peribadi pentadbir yang telah dikompromi.
- GoPlus Security dan ExVul mengesahkan pencerobohan kunci operator berkeistimewaan, bukan kelemahan dalam kontrak pintar Volo yang telah diaudit.
- Volo menyekat percubaan penyerang untuk merentas jambatan 19.6 WBTC dan menyerap semua kerugian, dengan peti simpanan dibekukan sementara menunggu laporan post-mortem.
Pelanggaran Keselamatan Volo Protocol $3.5M: Apa yang Berlaku di Rantaian Blok Sui
Serangan mengosongkan tiga peti simpanan yang memegang wrapped bitcoin (WBTC), aset emas bertoken XAUm daripada Matrixdock, dan USDC. Pecahan bebas meletakkan kerugian pada kira-kira $2.1 juta dalam WBTC, $0.9 juta dalam XAUm, dan $0.5 juta dalam USDC. Peti simpanan yang selebihnya, mewakili kira-kira $28 juta jumlah nilai terkunci, tidak terjejas dan tidak menunjukkan sebarang kerentanan yang sama.
Pasukan Volo mengesan pencerobohan itu dengan pantas. Pasukan membekukan semua peti simpanan, memaklumkan Sui Foundation, dan mula bekerjasama dengan penyiasat onchain serta rakan ekosistem untuk menjejak dan mendapatkan semula dana yang dicuri.
Dalam satu hantaran di X, Volo menyatakan ia akan menanggung sepenuhnya kerugian tanpa memindahkan kos kepada pendeposit. “Volo bersedia untuk menyerap kerugian ini. Kami akan melakukan yang terbaik untuk tidak memindahkan perkara ini kepada pengguna kami,” tulis pasukan itu. Satu laporan post-mortem penuh dijanjikan sebaik siasatan selesai.
“Kami kini berada dalam mod kawalan kerosakan, tetapi selepas itu selesai, kami akan merangka pelan pemulihan, dan pecahan penuh akan dikongsi tidak lama lagi,” tambah pasukan itu.
Dalam masa 30 minit selepas pengumuman awal, Volo melaporkan membekukan kira-kira $500,000 daripada aset yang dicuri melalui kerjasama dengan rakan ekosistem. Keesokan harinya, pada 22 April, pasukan mengesahkan ia telah memintas dan menyekat percubaan penyerang untuk merentas jambatan 19.6 WBTC, bernilai kira-kira $2.1 juta. Dana tersebut tidak lagi berada di bawah kawalan penyerang.
Firma keselamatan Goplus Security, Exvul Security, dan Bitslab masing-masing menerbitkan analisis awal on-chain yang menunjukkan kunci operator berkeistimewaan tinggi yang telah dikompromi sebagai punca utama. Penyelidik mengenal pasti alamat penyerang sebagai 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, yang menggunakan fungsi termasuk withdraw_with_account_cap_v2 untuk mengosongkan peti simpanan.
Goplus mengaitkan kompromi tersebut dengan kejuruteraan sosial dan teknik penipuan berkaitan yang menyasarkan akaun pentadbir peti simpanan. Tiada kelemahan dalam kod teras kontrak pintar dikenal pasti. Ini meletakkan pelanggaran tersebut dalam kategori kegagalan pengurusan kunci, bukannya kerentanan di peringkat protokol.
Volo sebelum ini telah menamatkan audit dengan Ottersec, Movebit, dan Hacken, serta mengekalkan program bug bounty yang aktif pada masa eksploit berlaku. Semua peti simpanan kekal dibekukan. Volo dan rakan-rakannya sedang giat berusaha untuk memulangkan WBTC yang disekat kembali kepada protokol. Pelan pemulihan terperinci akan disertakan bersama laporan post-mortem yang akan datang.
Serangan April 2026 terhadap Volo berlaku susulan pelanggaran KelpDAO pada 18 April 2026. Jumlah kumulatif kerugian DeFi merentas protokol pada April 2026 telah melebihi $600 juta menurut beberapa anggaran, mencerminkan corak eksploit yang menyasarkan kawalan akses dan pengurusan kunci, bukannya kod onchain.
Laporan Insiden: Llamarisk, Penyedia Perkhidmatan Aave Perincikan Godaman Kelp rsETH Merentasi Pasaran Ethereum dan Arbitrum
Eksploit jambatan menghabiskan 116,500 rsETH daripada penyesuai OFT Kelp pada 18 April, mendedahkan Aave V3 kepada sehingga $230M dalam hutang lapuk berpotensi. read more.
Baca sekarang
Laporan Insiden: Llamarisk, Penyedia Perkhidmatan Aave Perincikan Godaman Kelp rsETH Merentasi Pasaran Ethereum dan Arbitrum
Eksploit jambatan menghabiskan 116,500 rsETH daripada penyesuai OFT Kelp pada 18 April, mendedahkan Aave V3 kepada sehingga $230M dalam hutang lapuk berpotensi. read more.
Baca sekarangLaporan Insiden: Llamarisk, Penyedia Perkhidmatan Aave Perincikan Godaman Kelp rsETH Merentasi Pasaran Ethereum dan Arbitrum
Baca sekarangEksploit jambatan menghabiskan 116,500 rsETH daripada penyesuai OFT Kelp pada 18 April, mendedahkan Aave V3 kepada sehingga $230M dalam hutang lapuk berpotensi. read more.
Pendeposit dalam peti simpanan yang tidak terjejas tidak melaporkan kerugian. Pasukan Volo telah mengarahkan pengguna kepada akaun rasmi @volo_sui di X untuk kemas kini masa nyata menjelang penerbitan penuh laporan post-mortem.
Insiden ini menambah kepada rekod yang semakin meningkat mengenai platform DeFi yang berdepan risiko pengurusan kunci walaupun lulus audit formal, satu corak yang telah berulang kali ditandakan oleh penyelidik keselamatan merentas pelbagai ekosistem rantaian blok pada 2025 dan 2026.
